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摘 要 : 随 着 入 侵 的 推进 入 侵 者 掌握 的 信息 会 逐步 增加 ， 依 据 新 信息 入 侵 者 会 找到 更 好 的 入 侵 路 径 并 作出 调整 。 

人 和 他， 关于， 对 和 信和 于 
进行 预测 ; 然后 建立 不 完全 信息 多 阶段 博弈 模型 对 不 同 阶段 入 侵 者 的 入 侵 路 径 调 整 进行 预测 ; 最 后 设计 基于 博 弃 的 动 

态 防御 图 路 径 预测 算法 ， 对 完整 的 入 侵 路 径 进 行 预测 。 实 验 给 出 对 入 侵 路 径 进 行 预测 的 典型 实例 ， 对 实例 结果 的 分 析 

说 明了 模型 的 合理 性 与 准确 性 
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Intrusion path prediction based on incomplete information multi-stage game 
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Abstract: The target network information which intruder learn will gradually increase in the intrusion process. According to the 
new information , intruder will find a better intrusion path than before and adjust strategy. This paper presented a method which 
can more accurately predict intrusion path. First, it established a dynamic defense graph based on hypergraph theory and 
proposed the method to update dynamic defense graph. Second, it established incomplete information multi-stage game model. 
Finally, it designed the dynamic defense graph path predictive algorithm based on game. The experiment gives a concrete 
example about the model of predicting intrusion path. The reasonableness and accuracy of the model are illustrated by the 


analysis of the example results. 


Keyword: game theory; defense graph; incomplete information; multi-stage; path prediction 


入 侵 者 和 防御 者 存在 信息 非 对称 性 , 双方 都 无 法 完全 了 解 对 方 ， 

使 得 完全 信息 博弈 模型 的 应 用 受到 很 大 的 限制 。 为 了 解决 信息 

言 息 安全 事件 日 趋 频 繁 带 来 了 巨大 的 损失 巾 。 研 究 入 侵 预 。 受 限 的 问题 ， 部 分 学 者 使 用 非 完 全 信息 博弈 模型 进行 研究 。 文 

测 方法 ， 对 可 能 发 生 的 入 侵 路 径 进 行 预测 可 以 弥补 防火 墙 、 杀  ” 献 [6] 建 立 不 完全 信息 静态 博弈 模型 ， 并 进行 漏洞 风险 分 析 。 虽 
毒 软件 等 传统 技术 被 动 防御 的 缺陷 ， 有 效 提高 系统 的 安全 性 。 然 文 献 [6] 采 用 了 不 完全 信息 博弈 模型 ， 但 对 入 侵 行 为 预测 时 只 
博弈 论 是 研究 各 博弈 方 之 间 策 略 对 抗 、 竞 争 对 策 选 择 的 理论 户 。 “进行 了 一 次 静态 博弈 ， 即 认为 入 侵 者 在 入 侵 过 程 中 不 会 改变 入 
符合 网 络 入 侵 者 和 防御 者 之 间 的 目标 对 立 性 、 策 略 依 在 性 和 关 ” 侵 策略 。 在 实际 情况 下 ， 入 侵 者 只 具有 有 限 的 信息 收集 能 力 ， 
系 非 合作 性 的 特征 所 。 将 博弈 论 用 于 入 侵 行 为 预测 已 经 成 为 在 入 侵 之 前 无 法 完全 了 解 目标 网 络 ， 只 能 依据 现 有 信息 制定 收 
个 研究 热点 。 益 相对 高 的 入 侵 策略 。 随 着 入 侵 的 开展 ， 入 侵 者 会 对 目标 网 络 
使 用 博弈 论 进行 网 络 安全 的 研究 ， 博 弈 信息 是 一 个 关键 问 ” 有 进一步 了 解 ， 会 不 断 发 现 更 高 收益 的 入 侵 路 径 ， 进 而 不 断 调 
a 文献 [4] 以 网 络 被 入 侵 后 。 整 入 侵 策略 ， 际 的 入 侵 是 由 不 同 阶 段 组 成 的 ， 入 侵 者 在 
所 需要 的 恢复 时 间作 为 收益 定义 完全 信息 静态 博弈 模型 ， 并 分 。 不 同 阶 段 掌 握 的 目标 网 络 信息 不 同 ， 在 每 个 阶段 都 会 进行 策略 
析 了 网 络 安全 性 。 文 献 [5] 采 ss ww 调整 来 获取 更 多 的 收益 。 不 完全 信息 动态 博弈 考虑 了 入 侵 者 信 
击 图 转换 为 网 络 博弈 树 ， 用 于 研究 主动 防御 技术 。 在 网 络 中 ， 息 更 新 和 策略 调整 的 因素 , 例如 文献 [7 建立 了 攻防 信号 博 罕 模 
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型 并 设计 了 最 优 防御 策略 选取 算法 ， 入 侵 者 收 到 防御 者 释放 的 。 DDG={N,D,LE} ， 其 中 : N=(n,n,.…n,) 为 漏洞 集合 ， 
防御 信号 后 会 调整 入 侵 策略 ， 但 只 是 对 入 侵 者 掌握 的 防御 信号 。 D=(d,d;,…,d,) 为 防御 措施 集合 。L 为 有 向 边 集合 ， 表 示 漏 洞 
等 信息 进行 了 更 新 ， 并 未 对 入 侵 者 掌握 的 目标 网 络 的 脆弱 性 信 ”之 间 的 利用 关系 ，D 为 超 边 集合 ， 表 示 每 个 漏洞 可 选用 的 防御 
息 进行 更 新 ,而 脆弱 性 信息 是 入 侵 者 制定 入 侵 策略 的 关键 因素 ， ”措施 。N、D、L 和 了 为 动态 变化 的 集合 ,其 中 N= N+f(n,)， 
缺少 对 脆弱 性 信息 的 考虑 会 使 得 对 入 侵 路 径 的 预测 有 很 大 误差 。 ”了 表示 漏洞 间 的 更 新 关系 ， f(n) 为 当 入 侵 者 渗透 漏洞 后 新 
综合 以 上 分 析 ， 防 御 者 要 想 准确 预测 入 侵 路 径 需要 解决 两 个 关 ”加 入 动态 防御 图 的 漏洞 ， 当 有 新 漏洞 加 入 N 后 ， 需 要 相应 更 新 
键 问题 ， 一 是 信息 更 新 的 问题 。 防 御 者 需要 对 入 侵 者 在 不 同 入 ”集合 D、L 和 EE。 图 1 为 某 一 状态 下 的 动态 防御 图 示例 。 
侵 阶 段 掌 握 的 脆弱 性 信息 进行 预测 。 目 前 的 博弈 模型 中 ， 大 
分 都 是 以 第 三 方 的 角度 进行 分 析 ， 以 第 三 方 知道 攻防 双方 所 
信息 为 前 提 ， 但 防御 者 掌握 的 信息 是 受 限 的 ， 防 御 者 需要 科学 
的 方法 对 入 侵 者 掌握 的 脆弱 性 信息 的 更 新 进行 预测 ， 二 是 策略 
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由 整 的 问题 。 每 当 入 侵 者 掌握 了 目标 网 络 新 的 信息 后 就 会 调 
策略 来 获取 更 多 收益 ， 防 御 者 需要 对 每 一 次 入 侵 者 调整 的 策 
进行 预测 ， 才 能 准确 预测 出 最 终 的 入 侵 路 径 。 

针对 上 述 问题 ， 首 先 基于 超 图 理论 建立 动态 防御 图 模型 并 
设计 漏洞 更 新 模板 建立 漏洞 更 新 库 ， 漏 洞 更 新 库 结 合 目标 环境 
加 来 对 动态 防御 图 进行 更 新 ， 解 决 了 对 入 侵 者 信息 更 新 的 预测 
问题 。 在 此 基础 上 建立 不 完全 信息 多 阶段 博弈 模型 ， 对 不 同 阶 ”1.2 动态 防御 图 更 新 


< 


泗 才 


图 1 动态 防御 图 示例 


段 入 侵 者 的 策略 调整 进行 预测 ， 同 时 给 出 了 模型 具体 的 求解 方 要 进行 动态 防御 图 更 新 ， 关 键 是 确定 漏洞 间 的 更 新 关系 f， 

法 ， 并 设计 了 基于 不 完全 信息 多 阶段 博弈 的 动态 防御 图 路 径 预 即 : 当 入 侵 者 渗透 一 个 漏洞 节点 后 ， 要 确定 哪些 新 的 漏洞 会 添 

测算 法 。 加 到 动态 防御 图 中 。 目 前 还 没有 对 漏洞 更 新 关系 的 研究 ， 本 文 
提出 了 一 种 预测 漏洞 更 新 的 方法 。 


1 ”动态 防御 图 模型 


在 Li 等 人 65 的 攻击 模板 模型 基础 上 提出 漏洞 更 新 模板 模 

1.1 动态 防御 图 概念 型 。 通 过 漏洞 更 新 模板 构建 漏洞 更 新 库 。 本 文采 用 AGML(attack 

基于 图 进行 网 络 安全 分 析 是 一 个 有 效 的 网 络 安全 研究 途径 。 graphs modeling language) 建 模 语 言 对 漏洞 更 新 模板 进行 形式 化 

目前 图 的 模型 存在 两 个 问题 : 一 、 大 部 分 学 者 使 用 的 图 模型 只 赴 述 5。 漏 洞 更 新 模板 形式 化 表示 为 三 元 组 
包含 入 侵 的 信息 8 缺少 了 防御 的 相关 信息 , 不 利于 网 络 安全 ”VulnerabilityUpdate=< Vul, Pre, Eff>, 其 中 : Vul 为 漏洞 实体 ， 


分 析 。 为 了 全 面 评估 网 络 安全 ， 姜 伟 等 人 0 在 图 中 引入 防御 策 每 个 漏洞 实体 以 <VulID，OS，App> 描 述 ，VulID 是 漏洞 的 唯 
各 节点 定义 防御 图 ， 但 防御 图 只 能 简单 反映 入 侵 路 径 与 防御 策 标志 符 ， 采 用 标准 的 CVE07 编 号 表示 ;0OS 为 操作 系统 信息 ， 
各 的 关系 信息 ， 不 能 反映 具体 漏洞 与 相应 防御 措施 的 关系 。 姜 采用 <OS_name,OS_version> 描 述 ,OS_name 为 操作 系统 名 称 ， 
伟 等 人 0 使 用 二 分 图 描述 系统 状态 与 防御 策略 关系 ， 这 种 传统 OS_version 为 操作 系统 版 本 ; App 为 应 用 程序 信息 ， 采 用 
图 论 方法 可 以 表现 节点 之 间 的 多 元 关系 ， 但 是 节点 之 间 的 异 质 <App_name，App_version> 描 述 ，App_name 为 应 用 程序 名 称 ， 
性 会 造成 数据 连接 性 、 数 据 聚 类 等 研究 与 处 理 过 程 中 的 不 便 02。 App_version 为 应 用 程序 版 本 。 
、 1 的 图 模型 都 是 静态 模型 。 入 侵 者 在 入 侵 过 程 中 会 不 断 Pre 为 漏洞 被 发 现 的 前 提 集 , Eff 为 渗透 漏洞 的 后 果 集 。Pre 
加 深 对 目标 系统 的 了 解 ， 会 因 发 现 更 高 收益 的 入 侵 路 径 而 不 断 和 Ef 使 用 AGML 的 谓词 进行 描述 。 漏 洞 的 探测 有 两 种 形式 ， 
侵 策 略 ， 这 是 一 个 动态 过 程 ， 静 态 的 图 模型 无 法 有 效 表 一 种 是 基于 主机 的 ， 即 漏洞 探测 者 直接 登陆 目标 主机 取得 一 定 
示 这 一 过 程 。 控制 权 后 ， 在 目标 主机 上 进行 漏洞 的 探测 ， 另 一 种 是 基于 网 络 

综合 以 上 分 析 ， 本 文 首先 引入 超 图 理论 对 其 防御 图 作出 改 的 ， 即 漏洞 探测 者 利用 网 络 远 程 探测 目标 主机 的 漏洞 。 因 此 将 
。Berge0329 提 出 的 超 图 方法 既 可 以 很 好 地 表现 节点 之 间 的 多 前 提 集 和 后 果 集 都 分 为 主机 和 网 络 两 部 分 : Pre=<Pre_host， 
关系 ， 还 避免 了 节点 的 异 质 性 对 数据 处 理 带 来 的 困难 。 将 防 Pre net>，Eff=< Eff_host，Eff_net>， 其 中 Pre_host 和 Pre_net 
图 定义 为 两 层 模型 ， 上 层 为 入 侵 者 可 利用 的 漏洞 ， 表 示 入 是 “或 ”的 关系 , 只 要 满足 两 者 中 的 一 种 条 件 即 可 探测 到 此 漏洞 ， 
可 能 的 入 侵 路 径 ， 下 层 为 每 个 漏洞 对 应 的 防御 措施 ， 使 用 但 Pre_host 和 Pre_net 各 自 内 部 的 谓词 之 间 是 “与 ?的 关系 。 其 
进行 描述 。 然 后 提出 漏洞 更 新 关系 定义 动态 防御 图 ， 对 入 中 具体 前 提 集 和 后 果 集 见 表 1。 
程 中 入 侵 者 掌握 的 目标 系统 的 漏洞 的 更 新 进行 预测 。 动 态 标 环 境 构 建 是 对 目标 网 络 中 的 主机 、 网 络 、 漏 洞 等 信息 
图 具体 定义 如 下 : 进行 形式 化 描述 081。 利 用 Sheyner 的 目标 环境 构建 方法 名 对 

定义 工 动 态 防 御 图 (dynamic defense graph) 标 网 络 环境 进行 形式 化 描述 ， 目 标 环境 结合 漏洞 更 新 库 即 可 确 
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定 漏洞 间 的 更 新 关系 / 。 利 用 f 更 新 漏洞 集 N, 更 新 N 后 相应 
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御 图 的 自动 构建 不 是 本 文 的 重点 ， 受 篇 幅 限制 其 构建 技术 不 再 


更 新 集合 D、L 和 三 即 可 完成 动态 防御 图 的 更 新 。 由 于 动态 防 


详细 介绍 ， 后 续 研究 将 重点 讨论 。 


表 1 漏洞 更 新 模板 前 提 集 和 后 果 集 


Pre_ host hasPrivilege(HostID,Privilege),Service(HostID,ServiceName) 
trust([HostID,Privilege],[HostID,Privilege]),netConn(HostID,HostID,Pro 

tocol,Port),netService(HostID,ServiceName,Protoco]l,Port) 

Eff host hasPrivilege(HostID,Privilege) 

Eff _net trust(HostID,HostID,Privilege),netConn(HostID,HostID,Protocol,Port) 


2 不 完全 信息 多 阶段 博弈 模型 


入 侵 者 往往 是 序 贯 理性 的 09， 入 侵 者 追求 的 是 最 大 收益 ， 
但 是 受信 息 的 限制 ， 在 入 侵 刚 开始 时 只 能 找 出 当前 条 件 下 的 最 
佳 入 侵 路 径 ， 而 不 能 直接 找 出 客观 上 的 最 佳 入 侵 路 径 。 随 着 入 
侵 过 程 中 对 目标 系统 了 解 的 不 断 加 深 ， 入 侵 者 会 不 断 向 具有 更 
高 收益 的 入 侵 路 径 进行 调整 ， 即 在 入 侵 的 不 同 阶段 ， 入 侵 者 掌 
握 的 信息 也 不 同 ， 为 了 追求 本 阶段 的 最 大 收益 ， 入 侵 者 会 在 不 
同 阶段 进行 策略 调整 。 

随 着 网 络 安全 技术 的 发 展 ， 大 部 分 防御 者 都 能 发 现 本 网 络 
所 有 的 漏洞 〈 不 包含 0day 漏洞 )， 每 个 漏洞 也 都 有 相应 的 一 个 
或 多 个 可 选 防御 措施 。 由 于 资金 和 时 间 等 成 本 的 考虑 ， 现 实 中 
防御 者 并 不 会 部 署 所 有 可 选 的 防御 措施 ， 而 且 真 正 对 系统 有 重 
大 威胁 的 往往 只 有 少数 漏洞 ， 因 此 ， 防 御 者 会 在 有 限 成 本 下 有 
针对 性 地 进行 防御 。 


对 模型 作出 如 下 假设 : 
假设 1 入 侵 者 是 贪 禁 的 ， 总 是 追求 用 最 少 的 成 本 ， 获 得 


最 多 的 回报 。 
假设 2 ”入 侵 者 是 理性 的 ， 不 会 为 了 已 获取 的 权限 而 发 动 
入 侵 ， 其 入 侵 只 会 向 着 权限 提升 的 方向 发 展 。 
假设 3 ”入侵 者 类 型 为 私有 信息 ， 但 防御 者 对 入 侵 者 类 型 
的 概率 分 布 有 先 验 判断 ， 这 个 先 验 判断 、 防 御 者 类 型 及 防御 者 
策略 集 为 入 侵 者 与 防御 者 的 共有 信息 。 


假设 4 防御 者 是 智能 的 ， 能 够 发 现 本 网 络 所 有 漏洞 (不 
包含 0day)。 

假设 5 防御 者 追求 的 是 “适度 安全 ”在 有 限 的 成 本 下 追 
求 最 大 的 安全 收益 。 
2.1 模型 建立 

定义 2 不 完全 信息 多 阶段 博弈 模型 (incomplete 


information multi-stage game): 
TIMG = {N; S; P;U] 
(1) N = (ni;n,) 是 参加 博弈 的 局 中 人 集合 , 局 中 人 可 以 是 个 
人 也 可 以 是 某 个 有 共同 利益 的 团体 ， 大 部 分 对 抗 可 以 看 成 是 入 
侵 者 ni 和 防御 者 的 二 人 博弈 。77 = (nt;n”;nl) 表示 入 侵 者 的 
类 型 , 其 中 mw 表示 高 能 力 入 侵 者 ; nw 表示 一 般 能 力 入 侵 者 ; nl 
表示 低能 力 入 侵 者 。 


(2) Ss =(4,D) 是 策略 集 ， 其 中 : 4 = (at,at,...,at) 表示 入 侵 
方 利用 漏洞 进行 入 侵 后 入 侵 方 的 策略 集 ; D, = (qd*,dq*,...,d*) 
表示 入 侵 方 利用 漏洞 n, 进行 入 侵 后 防御 方 的 策略 集 。 

入 侵 策略 就 是 动态 防御 图 上 入 侵 者 当前 状态 到 完成 入 侵 
标的 路 径 。 防 御 策略 是 入 侵 路 径 包 含 的 每 个 漏洞 的 防御 措施 的 
组 合 。 

(3) P=(PB,P,.…P,) 是 防御 方 对 入 侵 方 类 型 的 先 验 信 
先 验 信念 可 由 专家 知识 获得 或 由 历史 经 验 确 定 ， 
P =(pt,p*,p*) 表示 入 侵 方 利用 漏洞 n 进行 入 侵 后 ， 防 御 方 对 
入 侵 方 的 先 验 信念 ， 其 中 pt + pt + pt=1。 

(4) U =(U,U,) 表示 对 抗 双 方 的 收益 函数 ， 其 中 : 


全 
2 


kN /Lk KEN 有 (天 wy {jk jk 
Us ={uy, (at,,d! )1 (a ,ds ) 29, (a ,dd ) 


好 


表示 入 侵 方 利用 漏洞 n 进行 入 侵 后 入 侵 方 的 收益 ; 


Us ={ub (as, dr ),ul, (a%,43),..s dy, (a ,d* ) 表示 防御 方 的 收 


益 。 
定义 3 纯 策 略 纳什 均衡 
在 JIMG={N;S;P:U} 中 ,策略 对 (at,qdt) 是 入 侵 类 型 为 j 的 
入 侵 方 利 用 漏洞 下 入 侵 后 进行 博弈 的 一 个 纳什 均衡 ， 则 at ,at 
分 别 是 入 侵 者 和 防御 者 此 时 的 最 优 策略 ， 即 : 


龙 大 天 [4 
us, (a ds ) us, 


(sd ), va 和 4w， p=1,2,3,...,n 


uy, (a dt ) ud as,d!),vd’ eD,, q=1,2,3,...,8 


定义 4 混合 策略 纳什 均衡 
在 MS-ADG={N;:S;P:U} 中 ， 
4 =(at,at,.…,at) 的 概率 分 布 为 


入 侵 者 策略 集 


Wl 


n 
HN oY 万 万 ny 
O04 =(0%,04.00),0 < 0%, <1, > Co =] 
p=1 


防御 者 策略 集 Dp, = (drt,q*,.….,d*) 的 概率 分 布 为 


5 
jy oN oy 好 好 万 一 
ay =(04,04204),0 < 0% <1, > Guw 二 ] 
gq=1 


此 时 入 侵 者 的 期 望 收益 为 
0 =D Saye (oo)| 


p=1 
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此 时 防御 者 的 


期 望 收益 为 


m 


大 
i i ii i 
U, > cow 本 (&, du ) 
g=1 


四 ki kj 
如 果 (o%,0%) 


p=1 


是 一 个 纳什 均衡 ， 则 


Kk/ Hy kK {Hy 有 rrEf x {NH Ny 
Us (o%,0%) 全 Us (ct ,04) Uy (o%,0%) 之 Uy (oo ) 


从 定义 2 和 3 可 以 发 现 ， 纯 策略 纳什 均衡 是 一 种 特殊 的 混 


虹 吕 


策略 纳什 均衡 ， 是 某 一 种 策略 概率 为 1， 其 余 为 0 的 混合 策 
。 因 此 求解 结果 选用 混合 策略 形式 表示 。 


定义 5 转移 概率 +, : 表示 漏洞 n, 到 漏洞 的 转移 概率 。 


定义 6 被 利 | 


概率 :表示 漏洞 由 被 入 侵 方 利用 的 概率 。 


入 侵 路 径 是 由 不 同 漏洞 按 一 定 的 顺序 组 在 一 起 的 ， 对 入 侵 
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合 策略 纳什 均衡 。 (5,05)。 


2.2.2 相关 概率 求解 
根据 纳什 均衡 的 定义 可 知 ， 当 防御 方 采 取 纳 什 均衡 的 策略 
时 ， 入 侵 方 为 获得 最 大 收益 只 能 也 采取 纳什 均衡 的 策略 。 防 御 
方 可 据 此 求 得 相关 概率 ， 对 入 侵 路 径 进行 预测 。 
转移 概率 +, : 入 侵 方 会 根据 纳什 均衡 选择 入 侵 策 略 ， 每 个 
入 侵 策 略 的 第 一 个 漏洞 是 入 侵 者 下 一 步 选 择 渗透 的 节点 ， 不 
入 侵 策 略 的 第 一 个 漏洞 可 能 相同 ， 此 时 转移 概率 需要 者 加 。 当 
入 侵 者 渗透 一 个 节点 后 ， 更 新 漏洞 集合 N， 如 果 有 新 的 漏洞 力 
入 N， 代 表 入 侵 策略 和 防御 策略 都 进行 了 变化 ， 纳 什 均衡 被 打 
破 ， 需 要 再 次 求解 纳什 均衡 ， 此 时 转移 概率 求解 见 式 (1); 如 果 


辽 


3 


路 径 预 测 的 问题 ， 可 以 转换 成 漏洞 被 利用 概率 和 转移 概率 求解 
的 问题 。 当 入 侵 者 对 某 个 漏洞 渗透 成 功 后 ， 动 态 防 御 图 会 进行 


更 新 ， 可 能 会 有 新 的 漏洞 与 防御 措施 补充 到 动态 防御 图 中 ， 导 
致 入 侵 策略 与 防御 策略 得 到 更 新 ， 从 而 纳什 均衡 被 打破 ， 双 方 


来 到 一 个 新 的 阶段 ， 


要 再 次 进行 博弈 调整 自己 的 策略 。IIMSG 模 


型 博弈 具体 过 程 如 图 2 所 示 。 


2.2 ”模型 求解 
2.2.1 纳什 均衡 求解 


图 2 IIMG 模型 博弈 过 程 


纳什 均衡 的 存 石 


三 


性 定理 (Nash,1950): 每 一 个 有 限 博 斌 至 


少 存在 一 个 纳什 均衡 〈 纯 策略 的 或 混合 策略 的 ) 站。 本 模型 中 


的 每 一 个 非 完全 信息 静态 博弈 显然 是 一 个 有 限 博弈 ， 因 此 每 次 


博弈 必然 存在 纳什 均衡 。 


根据 收益 函数 分 别 得 到 高 能 力 入 侵 者 、 一 般 能 力 入 侵 者 、 


低能 力 入 侵 者 与 防御 者 之 间 对 应 的 收益 矩阵 M,、M,、M, 。 


本 
(CE 

万 

本 (ua 


万 
(ma 》 


万 万 三 万 万 
Un) (Ua Ug) (Mas Ug) 


万 人 全 洛 
Ua) (Ua ay) (Ways lg) 


好 万 如 by 
Ug) (Uan2s U2) 轩 (u Us) 


ans? 


将 收益 矩阵 输入 博弈 工具 Gambit 进行 均衡 求解 ， 得 到 混 


没有 新 的 漏洞 加 入 N， 那 么 之 前 的 纳什 均衡 仍然 成 立 ， 此 时 可 
利用 之 前 的 纳什 均衡 结果 继续 计算 转移 概率 ， 此 时 转移 概率 求 
解 见 式 (2)。 
ty = pi* (Oo n+ ps * om) + Pp * (on,) (1) 
,PDO D+ ps Do nD +p Dom 


CO) 其 中 : > (co? mn,)) 为 所 有 第 一 个 漏洞 为 m 的 最 优 策略 的 概率 
和 ; ! 为 求解 纳什 均衡 时 所 处 节点 s 的 被 利用 概率 ; pe、pe、pe 
的 值 的 求解 见 式 (4)~(6)。 

被 利用 的 概率 1 : 起 始点 被 利用 的 概率 为 1， 其 余 节 点 被 
利用 的 概率 由 上 一 级 的 所 有 父 节点 被 利用 的 概率 及 其 转移 概率 
k 同 决定 。 

t,= 2 (人 st)= 

Ze: (ph* DOW nD)+ ps * oon) + pr * (orn,)) 


G) 先 验 信念 p; : 初始 状态 下 防御 者 对 入 侵 者 的 先 验 信念 
已 = (py,py ,py) 由 历史 经 验 和 专家 知识 获得 ， 在 之 后 的 漏洞 节 
点 处 的 先 验 信念 由 其 上 一 级 的 所 有 父 节点 的 先 验 信 念 、 被 利用 
的 概率 及 其 转移 概率 共同 决定 。 
| Da psd (orn) Dl pe* Dd (on,)) 
Be t, or 
(4) 
Dp Dorn) Dp * don,))) 
六 TF pr Tr 
(5) 
Dp on)) Dp on,)) 
Pe 站 Tyrp Ton 


) 


3 ”基于 不 完全 信息 多 阶段 博弈 的 动态 防御 图 路 径 预 


测算 法 


算法 是 在 动态 防御 图 上 通过 不 完全 信息 多 阶段 博弈 对 入 侵 
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路 径 进 行 预测 。 为 便于 叙述 将 入 侵 者 作为 起 始点 加 入 动态 防御 
图 中 ， 入 侵 目 标 作为 目标 节点 加 入 动态 防御 图 中 ， 但 目标 节点 
不 参与 博弈 分 析 ， 如 果 某 一 漏洞 节点 与 目标 节点 直接 相连 ， 当 


入 侵 者 渗透 此 节点 后 ， 即 认为 入 侵 者 达成 入 侵 目 标 ， 此 漏洞 节 


点 到 目标 节点 的 转移 概率 为 1。 


算法 1 基于 不 完全 信息 多 阶段 博弈 的 动态 防御 图 路 径 预 


测算 法 
Input: 动态 防御 


P= (pe,po, pr)， 漏 } 


图 DDG={N,D,L,E} ;初始 先 验 概率 。 


洞 更 新 库 ， 目 标 环境 


Onutput: 转移 概率 集 T1; 被 利 


概率 集 T2。 


1) 初始 化 TMG = {N;S; P;U} =0; 


2) do{ 
3) 构建 入 侵 策 
4) 构建 防御 策 
5) 利 


证 全 大 大 ky : 
略 集合 A, = (at,at,...,a*); 


略 集合 D, = (d*,dt,...,d*); 


j U 和 17 计算 不 同类 型 入 侵 者 和 防御 者 在 选择 个 同 策 


略 时 的 收益 ， 然 后 对 应 收益 矩阵 M,、M,,、M,; 

6) ”利用 博弈 工具 Gambit 进行 均衡 求解 ， 得 到 三 个 混合 策略 纳 
什 均衡 : 

(o%,0%)(o%,o%) (or,0%); 

7) do{ 

8) 这 在 节点 上 进行 了 纳什 均衡 求解 ) 

利用 式 (计算 漏洞 节点 K 到 其 子 节点 的 转移 概率 ; 

else 

利用 式 (2) 计 算 漏 洞 节 点 k 到 其 子 节点 的 转移 概率 ; 

end if 

9) do{ 

10) 利用 广度 优先 算法 (BFS) 选择 下 一 个 漏洞 节点 ， 更 
新 k 的 值 ; 

11) 利用 N=N+fQm,) 更 新 Ni 

12) 利用 式 (2) 计 算 漏 洞 节 点 的 被 利用 概率 ; 

13) 利用 式 (3)~(5) 计 算 先 验 概率 ; 

14) }while( 达 到 入 侵 目 标 入 & 有 剩余 节点 ) 

15) i 达到 入 侵 目 标 &&& 无 剩余 节点 ) 

16) return 77, 72;// 算 法 结束 

17) }while(N 未 变动 ) 

18) 更 新 动态 防御 图 DDG = {N,D,L,E}; 

19)  }while(true) 


算法 1 采取 两 个 措施 减少 计算 量 : 


a) 经 过 统计 大 量 真实 入 


i 


如 事件 发 现 真 实 入 侵 


者 实施 的 有 效 入 侵 路 径 的 长 度 绝 大 部 分 在 


3 以 内 ， 且 没有 发 现 长 度 超过 10 以 上 的 09， 所 以 剔除 长 度 超过 


10 的 路 径 ; b) 并 不 是 
防御 图 ， 当 动态 防 利 
结束 时 防御 图 的 漏洞 


每 次 入 侵 后 都 会 有 新 的 漏洞 节点 加 入 动态 
图 没有 变化 时 ， 不 重新 进行 博弈 。 设 算法 
节点 数 为 n, 每 个 节点 双方 策略 个 数 为 m， 


则 生成 或 更 新 防御 图 
复杂 度 为 OmnN* m2) » 


的 时 间 复 杂 度 为 O(n*) ， 均 衡 求解 的 时 间 


路 径 预 测算 法 时 间 复杂 度 为 OnN* 1112 十 1) o 
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4 ”应 用 实例 与 分 析 


4.1 实验 环境 


作 机 管理 


学 


数据 库 服 ”公共 文件 服 
务 器 务 器 


图 3 网 络 拓扑 


本 文采 用 如 图 3 所 示 的 典型 场景 进行 实验 ， 该 场景 便于 深 
入 分 析 信 息 对 入 侵 者 路 径 选择 的 影响 ， 适 用 于 验证 本 算法 对 路 
径 预测 是 否 合理 与 准确 。 入 侵 者 位 于 外 部 网 络 ， 入 侵 者 与 目标 
网 络 由 防火 墙 1 隔 开 。 目 标 网 络 共 有 四 台 主 机 ， 分 别 为 用 户主 
机 、 管 理 员 主机 、 共 享 文件 服务 器 、 数 据 库 服务 器 ， 其 中 ， 防 
火 墙 2 将 两 台 服 务 器 隔离 成 一 个 子 网 。 防 火 墙 规则 信息 如 表 2 
和 3 所 示 ， 各 主机 的 漏洞 信息 如 表 4 所 示 。 防 御 方 的 防御 措施 
如 表 5 所 示 。 


表 2 防火 墙 1 规则 信息 


源 主 机 的 主机 ”访问 策略 
All 户主 机 Allow 
All 管理 员 主 机 Allow 


表 3 防火 墙 2 规则 信息 


源 主机 目的 主机 访问 策略 

户主 机 享 文件 服务 器 。 Allow 
管理 员 主 机 训 文 件 服 务 器 。 Allow 
管理 员 主 机 数据 库 服务 器 Allow 


表 4 各 主机 漏洞 信息 


主机 CVE 编号 结果 ”漏洞 编号 
户主 机 CVE-2016-3338 root 31 
管理 员 主机 CVE-2016-3387 user 97 
CVE-2016-3343 root $3 
k 享 文件 服务 器 ”CVE-2014-1443 root Sa 
数据 库 服务 器 。” CVE-2015-7564 root 55 
CVE-2016-2555 root Se 


假设 入 侵 者 在 本 机 有 root 权限 并 以 取得 数据 库 服务 器 的 
root 权限 为 入 侵 目 标 。 由 于 管理 员 主 机 对 数据 库 服 务 器 具有 管 
里 权限 ， 所 以 如 果 入 侵 者 取得 管理 员 主 机 root 权限 也 视 为 完成 
入 侵 目标 。 
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表 5 防御 方 策略 
防御 措施 编号 
修改 防火 墙 1 策略 
修改 防火 墙 2 策略 。 
安装 漏洞 补丁 » 
隔离 主机 Va 
丢弃 可 疑 数据 包 Vs 
关闭 服务 Ve 
禁止 访问 端口 Ww 
重启 主机 Vs 
变更 信任 关系 Ww 


4.2 路 径 预 测 
利 


% ， 将 入 侵 目标 作为 目 


N = ($0,51,5,,53,54, 55,57 


算法 1 进行 路 径 预测 。 将 入 侵 者 作为 初始 节点 编号 为 
标 节点 编号 为 ， 入 侵 者 初始 漏洞 
) ， 生 成 动态 防御 图 如 图 4 所 示 。 其 中 


7 
过 


被 利用 概率 如 =1, 利 用 专家 知识 确定 防御 者 对 入 侵 者 的 初始 先 
验 概率 为 P=(0.3,0.4,0.3)。 


况 上 


曾 才 


图 4 动态 防御 图 


根据 动态 防御 图 


可 知 


入 侵 者 入 侵 策略 为 


a? :so 一 9 一 3 一 7 


0 . 
WS FHSS 5 


0. 
3 : 50 一 9 S357 


防御 者 防御 策略 为 : 


da? : {V1,V,, Vs, Ve} 


d9 : {vi,v,, v7} 


d? : {vy, vs, ves vy} 


利 ) 


参考 文献 [6] 的 方法 


| (2,5) (19,7) 
(23,31) (14,17) 
| (3,9) (8,13) 


| (13,2D (15,23) 
(11,23) (15,17) 
| C2,1D (0,15) 


| (8,9) (12,19) 
(7,12) (1,21) 
| CID 0,17) 


进行 量化 计算 ， 得 到 收益 矩阵 ; 


(8,12) | 
(11,6) 
(13,21) | 


(6,9) | 
(11,9) 
(13,19) | 


(7,21) 
(13,14) 
(14,22) 


”ChinaXiv 合 作 期 刊 
杨 唆 棉 ， 等 : 基于 不 完全 信息 多 阶段 博 弃 的 入 侵 路 径 预测 


将 收益 矩阵 输入 博弈 工具 Gambit 进行 均衡 求解 ， 得 到 混 
合 策 略 纳 什 均 衡 ， 其 中 
a0' = (0,0.324,0.676),a0" =(0.75,0.25,0) ao =(0,0,1) 。 利 
计算 转移 概率 : 

to =0.3*(0.324 +0)+0.4*(0.75+0.25)+0.3*(0+0)=0.497 


fo =0.3*0.676+0.4*0+0.3*1=0.503 


] 式 (1) 


利用 广度 优先 算法 选择 下 一 个 漏洞 节点 s ， 进 行 漏洞 集 更 
新 但 没有 发 生 漏洞 变动 ， 即 纳什 均衡 没有 被 打破 ， 利 用 式 (3) 计 
算 节 点 被 利用 概率 : 

1 =1*0.497 =0.497 
利用 式 (4)~(6) 计 算 先 验 概率 : 
e ehy: 
Zt pr* Zo C4) 1*03x*(0.324+0) 
p= = =0.195 
ti 0.497 
e ehy: 
Zi*p 2 Co2 Gi)) 1*0.4*(0.75+0.25) 
pr =— = =0.805 
L 0.497 
e ehy: 
,SP Ye (2) #0.3*(0+0) 

后 th 0.497 

由 于 在 s 漏洞 没有 变动 ， 所 以 不 用 重新 进行 博弈 ， 利 用 式 
(2) 计 算 转 移 概率 。 

-03*0+04*075+03*0 _0604 
0.497 
-03*0324+04*025+03*0 _0306 
0.497 


按照 广度 优先 算法 选择 下 一 个 漏洞 节点 s, ， 进 行 漏洞 更 新 。 
由 于 篇 幅 限制 ， 这 里 只 列 出 目标 环境 和 漏洞 更 新 模板 中 与 
此 次 漏洞 更 新 相关 的 内 容 〈 表 6、7)。 


表 6 目标 环境 中 的 主机 间 连 接 关系 
源 主机 目的 主机 源 主机 权限 ”目的 主机 访问 权限 
管理 员 主机 数据库 服 务 器 user acess 
管理 员 主机 数据库 服务 器 root root 
all 管理 员 主 机 root acess 
表 7 漏洞 前 提 集 和 后 果 和 外 
漏洞 前 提 集 后 果 集 
CVE-2016- ”trust([ 管 理 员 ,user][ 数 据 ”trust([ 管 理 员 ,user][ 数 据 
2555 库 ,acess]) 库 ,root]) 
CVE-2016- ”trust([ 入 侵 者 ,root][ 管 理 。 ”trust([ 入 侵 者 ,root][ 管 理 
3387 员 ,acess]) 员 ,user]) 


根据 漏洞 更 新 模板 和 目标 环境 可 知 ， 当 入 侵 者 利用 CVE- 
2016-3387 漏洞 入 侵 管 理 员 主机 后 会 发 现 CVE-2016-2555 漏洞 
存在 于 数据 库 服 务 器 中 ， 此 时 要 更 新 入 侵 者 的 漏洞 全 
入 =(s0,51,5253,S4,5s,S6,3;)， 相 应 的 入 侵 策略 和 防御 策略 发 生变 


nr 
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动 


计算 节点 被 利用 概率 : 


纳什 均衡 被 打破 ， 需 要 进行 策略 调整 。 


b =1*0.503 =0.503 


1 六 pe ehy: 
之 (GT 《0) 1*0.3*0.676 


e ej 
2 * pp, * (or. (i)) 1#0.4*0 


计算 先 验 概率 : 
pe 
2 L 
p? 
1 
p= 


e ep r， 
a Me CO) jx0.3*#1 


更 新 动态 防御 图 (图 5): 


程 上 


兽 才 


图 5 动态 防御 


图 5 可 知 入 侵 者 此 时 的 策略 为 
WW 
此 时 防御 方 策略 为 : 
a? 
d; 
利用 参考 文献 [6] 中 进行 量化 


所 示 。 


其 中 每 个 漏洞 被 利用 的 概率 为 


进行 纳什 均衡 求解 得 
oY =(0.1,0.9),02 =(0.3,0.7),02 = (0.2,0.8) 
利用 式 (1) 计 算 转 移 概率 : 

ty =0.403*0.1+0*0.3+0.597*0.2=0.16 

fy =0.403*0.9+0*0.7+0.597*0.8 =0.84 


再 按照 算法 1 进行 计算 ， 直 到 算法 结束 。 最 


丽 


图 6 动态 防御 图 


MU 


ti =0.497,t, =0.503,t, =0.38,t, =0.197,ts =0.197,1 = 0.423 
4.3 结果 分 析 

从 结果 可 以 发 现 ， 入 侵 者 最 有 可 能 的 入 侵 路 径 为 
ww > 5s。 >》s,， 概率 为 0.423， 其 中 节点 ,被 利用 的 概率 为 
0.503， 节 点 % 被 利用 的 概率 为 0.423， 上 共有 很 大 的 安全 隐患 。 
虽然 5 一 5 一 5 二 5 和 5 一 5 一 5 一 5; 一 5 两 条 入 侵 路 径 
的 概率 较 小 ， 分 别 为 0.3 和 0.197, 但 是 由 于 两 条 路 径 都 经 过 节 
点 s,， 使 得 ,被 利用 的 概率 也 比较 高 为 0.497, 防御 者 在 采取 防 
御 措 施 时 不 能 忽略 s 漏洞 节点 。 
使 用 文献 [3,20] 的 方法 进行 分 析 : 如 果 初 始 漏 洞 集 不 包含 节 
点 s。， 由 于 文献 [3,20] 的 方法 不 会 进行 漏洞 更 新 且 只 进行 一 次 
赴 弈 ， 最 终结 果 会 忽略 节点 s。; 如 果 初 始 漏洞 集 包含 节点 5 ， 
于 ww sw >s, _>s 入 侵 路 径 的 高 收益 ， 会 使 得 博弈 结果 全 
向 这 条 路 径 ， 从 而 造成 节点 s 被 利用 的 概率 比 实际 利用 的 概率 
要 低 。 在 实际 中 ， 由 于 入 侵 者 初始 状态 信息 的 缺失 ， 并 不 能 直 
接 准确 判断 出 客观 最 佳 入 侵 路 径 ss, s,s, ， 从 而 造成 
节点 5 也 有 较 高 的 利用 率 。 通 过 以 上 分 析 ， 可 以 发 现在 这 种 场 
景 下 ， 本 文 方法 要 比 文献 [3,20] 的 方法 符合 实际 , 更 具有 合理 性 
与 准确 性 。 

为 了 深入 分 析 信 息 与 入 侵 路 径 选 择 的 关系 ， 本 实验 选择 了 

个 典型 场景 ， 随 着 场景 中 网 络 节点 数量 的 增加 不 会 从 本 质 上 

改变 信息 对 入 侵 者 路 径 选择 的 影响 ， 所 以 本 算法 在 节点 数量 增 
加 时 对 入 侵 路 径 的 预测 的 合理 性 与 准确 性 不 会 改变 。 网 络 节点 
的 增加 会 增加 防御 图 中 的 节点 数 ， 从 而 造成 生成 防御 图 时 运算 
量 的 增加 。 本 文采 用 了 文献 [21] 方 法 生成 防御 图 。 文献 [21] 通 过 
实验 验证 了 该 方法 能 够 适用 于 大 型 网 络 ， 所 以 本 算法 在 网 络 节 
点 数量 增加 时 仍然 能 


汪 


5 ”结束 语 


为 了 对 只 有 有 限 信息 收集 能 力 的 入 侵 者 的 入 侵 路 径 进行 预 
测 ， 首 先 要 对 入 侵 者 在 不 同 阶段 对 目标 网 络 的 了 解 程度 进行 预 
测 ， 然 后 在 对 不 同 阶段 入 侵 者 的 策略 调整 进行 预测 。 针 对 上 述 
第 一 个 问题 ， 本 文 基于 超 图 理论 构建 动态 防御 图 模型 ， 并 给 出 
了 动态 防御 图 的 更 新 方法 。 针 对 第 二 个 问题 ， 本 文 在 动态 防御 
图 上 建立 不 完全 信息 多 阶段 博弈 模型 对 不 同 阶段 入 侵 者 的 决策 
进行 预测 ， 同 时 设计 了 基于 不 完全 信息 多 阶段 博弈 的 动态 防御 
图 路 径 预 测算 法 。 最 后 通过 一 个 典型 的 网 络 实例 演示 了 本 文 方 
法 在 入 侵 路 径 预测 的 具体 应 用 ， 通 过 对 结果 的 分 析 ， 说 明了 本 
方法 的 合理 性 与 准确 性 。 
为 了 进一步 增加 模型 的 准确 性 ， 下 一 步 需要 对 策略 的 
方法 进行 改进 ， 研 究 更 适合 本 模型 的 量化 方法 。 
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